Avaliação técnica de vulnerabilidades no código do Skala
Data de elaboração |
18/08/2021 |
---|---|
Responsável pelo estudo |
José Lucas da Silva Costa |
Equipe do estudo |
|
Alvo | Sistema Skala |
Origem |
Falhas de segurança |
Objetivo |
Avaliar falhas de segurança no sistema Skala |
Documentação Correlata |
Documentação Técnica: https://hermes-api.dev.local/swagger/ |
Observações |
Sem observações. |
1. Glossário de Termos
- SID - Sistema Integrado de Descanso.
2. Introdução
Inicialmente o SID (Sistema Integrado de Descanso) é o sistema responsável pelo controle de férias do Poder Executivo Estadual, atualmente o Portal do Servidor no ato de uma solicitação de férias ou remarcação se comunica com o SID para lançamento de uma solicitação.
3. Desenvolvimento - Implementação de notificação via e-mail e meu acesso no SID
3.1 E-mail
A notificação por e-mail é em tese possível, foi levantada a hipótese de utilização sistema HERMES que foi criado com a finalidade auxiliar no envio de e-mails. A documentação técnica disponível no endereço eletrônico https://hermes-api.dev.local/swagger/ foi analisada pelo time e ficou constatado que a sua utilização é válida e recomendada.
3.2 Sistema Meu Acesso
Devido ao time TITÃS não ser responsável pelo referido sistema, a notificação neste sistema vai necessitar reuniões com o time responsável para sanar dúvidas a respeito da implementação da funcionalidade.
3.3 Possíveis problemas
Após diálogo entre os integrantes do time TITÃS, identificou-se que para o envio de um e-mail ao chefe imediato após uma solicitação de férias ou de remarcação, é necessário passar por uma série de etapas que serão demonstradas no fluxograma a seguir:
Fonte: Titãs
Consequentemente, o excesso de requisições em outros sistemas pode gerar um custo de processamento alto no sistema, pois o SID não armazena as informações necessárias para obter diretamente o e-mail de uma pessoa.
Outro problema desta implementação é o excesso de e-mails na caixa de entrada dos responsáveis pelas homologações, podendo estes serem considerados spam pelos servidores de e-mail dos destinatários.
3.4 Valor agregado
A notificação através do e-mail poderá conscientizar os chefes imediatos da novas solicitações, possibilitando a redução das solicitações na situação de "Aguardando Homologação".
4. Conclusão
O presente ESTUDO TÉCNICO PRELIMINAR, elaborado pelos integrantes TÉCNICOS do time TITÃS, considerando a análise dos desafios técnicos envolvidos e citados, conclui pela VIABILIDADE DA IMPLEMENTAÇÃO DA NOTIFICAÇÃO DE MODO CRITERIOSO, uma vez que foram considerados os potenciais benefícios em termos de eficiência e também os problemas envolvidos, principalmente potenciais problemas de desempenho da aplicação. Em complemento, os contratempos identificados são administráveis, pelo que RECOMENDAMOS o prosseguimento da demanda. Ressalva-se que o ideal é que a periodicidade de envio dos e-mails seja no máximo diária, para esta atividade recomenda-se a construção de um Job que faça o envio no período desejado.